Tijdens een recent event in Londen deed Charl van der Walt, Head of Security Research bij Orange Cyberdefense, een dringende oproep tot het ontwikkelen van een uniforme ontologie rond cybercrime. Van der Walt benadrukte dat de huidige versnippering van termen en definities binnen de cybersecurity-industrie leidt tot verwarring en inefficiëntie bij het delen en begrijpen van informatie. “Er is grote behoefte aan één ontologie zodat we beter informatie kunnen uitwisselen”, aldus Van der Walt.
Het probleem: gebrekkige standaardisatie
In de wereld van cybersecurity gebruiken vendoren, consultants en gebruikers vaak uiteenlopende terminologieën om dezelfde of vergelijkbare concepten te beschrijven. Zo ontbreekt er bijvoorbeeld één definitie van ‘hacktivists’, terwijl zij een belangrijke bron van cyberaanvallen zijn. Dit gebrek aan standaardisatie belemmert de samenwerking, vooral wanneer organisaties werken met meerdere tools van verschillende aanbieders. Het leidt niet alleen tot inefficiënties, maar kan ook leiden tot misverstanden die de beveiliging in gevaar brengen.
Wat is een ontologie?
Een ontologie is in essentie een gestructureerde verzameling definities die beschrijft wat bekend is binnen een bepaald domein. Het legt verbanden vast tussen concepten, rollen en activiteiten. Binnen het cybercrime-ecosysteem kan een ontologie bijvoorbeeld beschrijven wat als criminele activiteit wordt beschouwd, wie de betrokken actoren zijn, en hoe deze actoren met elkaar in relatie staan.
Een goed ontworpen ontologie creëert een gemeenschappelijke taal die de samenwerking en communicatie tussen verschillende partijen aanzienlijk verbetert. Het is een fundament waarop verder gebouwd kan worden, zowel voor het ontwikkelen van technologie als voor het uitwisselen van inzichten.
De huidige situatie: geen standaard
Momenteel bestaat er geen breed geaccepteerde standaard voor een ontologie rond cybercrime. Dit betekent dat iedere organisatie en tool eigen definities en structuren hanteert, wat leidt tot een gebrek aan samenhang in de aanpak van cybercrime. Het standaardiseren van deze termen zou niet alleen zorgen voor een betere samenwerking, maar ook voor een effectievere aanpak van cyberdreigingen.
Een initiatief dat als basis kan dienen voor een dergelijke standaard is Cybercrime Now, een service van Orange Cyberdefense. Deze tool kan in analogie met de ‘social graph’ die socialmediabedrijven gebruiken, wellicht het beste een ‘security graph’ worden genoemd. Het brengt namelijk de relaties tussen alle actoren binnen het cybercrime-ecosysteem in kaart. Het omvat bovendien een beschrijving van deze actoren en hun activiteiten. Van der Walt stelt dat deze beschrijvingen een goede uitgangspositie bieden voor de ontwikkeling van een uniforme ontologie.
Met Cybercrime Now krijgen met name businessgebruikers en securityprofessionals bij bedrijven en overheden de kans om beter te begrijpen hoe de complexe dynamiek van cybercrime nu precies in elkaar. Dit is nog eens extra belangrijk omdat een aantal van de – zeg maar – services die cybercriminelen gebruiken vaak ook een legaal gebruik kennen. Dit maakt het voor iedereen die niet 24/7 met cybercrime bezig is vaak lastig om een goed inzicht in een aanval te krijgen. Door de inzichten uit deze tool te combineren met een breed gedragen standaardisatieproces, kan de cybersecurity-industrie dus zeker vooruitgang boeken.
Van der Walt roept daarom de industrie op om gezamenlijk te werken aan een universele ontologie rond cybercrime. Dit zou niet alleen de informatie-uitwisseling verbeteren, maar ook een solide basis vormen voor betere beveiligingsstrategieën. Hij benadrukt dat de complexiteit van cyberdreigingen vraagt om samenwerking en eenduidigheid: “Alleen door samen te werken, kunnen we effectief optreden tegen cybercrime.”